springSecurity总结:
一、Spring security框架简介
1、简介
一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 spring security的主要核心功能为 认证和授权,所有的架构也是基于这两个核心功能去实现的。
2、框架原理
众所周知 想要对对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。所以springSecurity在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。
如下为其主要过滤器 :
WebAsyncManagerIntegrationFilter : 将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。
SecurityContextPersistenceFilter
HeaderWriterFilter
CorsFilter
LogoutFilter
RequestCacheAwareFilter
SecurityContextHolderAwareRequestFilter
AnonymousAuthenticationFilter
SessionManagementFilter
ExceptionTranslationFilter
FilterSecurityInterceptor
UsernamePasswordAuthenticationFilter
BasicAuthenticationFilter
3、框架的核心组件:
SecurityContextHolder:提供对SecurityContext的访问
SecurityContext,:持有Authentication对象和其他可能需要的信息
AuthenticationManager 其中可以包含多个AuthenticationProvider
ProviderManager对象为AuthenticationManager接口的实现类
AuthenticationProvider 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
Authentication:Spring Security方式的认证主体
GrantedAuthority:对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示
UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到
UserDetailsService:通过username构建UserDetails对象,通过loadUserByUsername根据userName获取UserDetail对象 (可以在这里基于自身业务进行自定义的实现 如通过数据库,xml,缓存获取等)
4、springSecurity工作原理:
这篇博客已经讲得非常细了: https://blog.csdn.net/u012702547/article/details/89629415
源码分析认证流程:https://blog.csdn.net/lizc_lizc/article/details/84061657
二、动手实现
1、实现之前我们先了解一下springSecurity 的几个相关注解:
@Configuration和@Bean
@Configuration写在类上,说明这是一个配置文件,然后用@Bean来声明方法。方法一般返回的都是类的实例。意思是相当于xml文件中声明的bean。
@EnableGlobalMethodSecurity
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解
@EnableGlobalMethodSecurity(securedEnabled=true) 开启@Secured 注解过滤权限@EnableGlobalMethodSecurity(jsr250Enabled=true)开启@RolesAllowed 注解过滤权限 @EnableGlobalMethodSecurity(prePostEnabled=true) 使用表达式时间方法级别的安全性 4个注解可用: @PreAuthorize 在方法调用之前,基于表达式的计算结果来限制对方法的访问 @PostAuthorize 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常 @PostFilter 允许方法调用,但必须按照表达式来过滤方法的结果 @PreFilter 允许方法调用,但必须在进入方法之前过滤输入值
2:认证相关的类和接口:
UserDetailsService(接口):
接口里的唯一一个方法,接收String类型的用户名参数,通过当前登录进来的用户查询用户信息,返回UserDetails(接口)
UserDetails(接口)
Spring Security的核心接口,它代表一个主体,是扩展的,也是Security认证需要提供的类, 通常UserDetails转换成你系统提供的类
SecurityContextHolder
我们通过下面这种方法来获取当前用户信息:
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
String username = ((UserDetails)principal).getUsername();
} else {
String username = principal.toString();
}Authentication
Authentication是一个接口,用来表示用户认证信息的,在用户登录认证之前相关信息会封装为一个Authentication具体实现类的对象,在登录认证成功之后又会生成一个信息更全面,包含用户权限等信息的Authentication对象,然后把它保存在SecurityContextHolder所持有的SecurityContext中,供后续的程序进行调用,如访问权限的鉴定等。
PasswordEncoder(接口)springSecurity提供的密码加密、密码匹配(比对)接口,BCryptPasswordEncoder实现此接口,因此可以直接调用BCryptPasswordEncoder 的encode方法加密,当然也可以使用springSecurity提供的Md5PasswordEncoder md5PasswordEncoder = new Md5PasswordEncoder(); 类进行加密
添加记住我功能原理:
OAuth协议简介:1:密码模式:
2:code模式
比较:code模式用户授权是在服务提供商授权,而其他模式则是在第三方应用。